Indonesia Rentan Kena Serangan Siber, Ini Berbagai Desakan Masyarakat
Dalam sepekan terakhir, serangan siber terhadap berbagai situs lembaga negara mengemuka. Padahal, insiden serangan siber terhadap Pusat Data Nasional (PDN) belum dapat dipulihkan. Insiden serangan tersebut diketahui dari forum BreachForums yang mengungkap sejumlah data breach terhadap lembaga-lembaga negara di Indonesia.
Menurut catatan Lembaga Studi dan Advokasi Masyarakat (ELSAM), data breach tersebut terjadi pada: Ditjen Perhubungan Udara yang membeberkan data dan foto karyawan, user name dan password untuk seluruh aplikasi, peserta sertifikasi pilot drone, dan data penerbangan; BPJS Ketenagakerjaan yang mengungkap data nama dan tanggal lahir peserta BPJS Ketenagakerjaan, alamat email, nomor telepon, kelompok usia, alamat, kode pos; Badan Intelijen Strategis (BAIS) TNI; Indonesia Automatic Fingerprint Identification System (INAFIS) yang dikelola Polri (mencakup juga data sensitif foto sidik jari); Pemerintah Kota Denpasar; dan Pemerintah Kota Semarang.
Atas berbagai dugaan data breach yang melibatkan pemerintah sebagai pengendali data pribadi tersebut, menurut Elsam, menegaskan rentannya sistem pelindungan data yang mereka terapkan. Padahal, UU No. 27/2022 tentang Pelindungan Data Pribadi UU PDP), juga berlaku mengikat bagi seluruh pengendali data publik, termasuk untuk menerapkan seluruh standar kepatuhan.
Direktur Eksekutif ELSAM Wahyudi Djafar menekankan kewajiban pemerintah sebagai pengendali data untuk melaksanakan tanggung jawab dan kepatuhan, memastikan keamanan pemrosesan data, merekam kegiatan pemrosesan, menjaga kerahasiaan data, pemberitahuan bila terjadi pelanggaran, dan melakukan penilaian dampak perlindungan data.
Menurut Elsam, rentannya perlindungan data pribadi yang dikelola institusi publik tak hanya berkaitan dengan risiko pengungkapan data, tetapi juga berdampak pada integritas data. "Artinya serangan dapat terjadi terhadap confidentiality, integrity, dan availability data sekaligus, yang sebenarnya merupakan inti dari tujuan keamanan data itu sendiri," kata dia.
Bila tidak segera dilakukan pembenahan menyeluruh, menurut Elsam, dikhawatirkan risiko dan ancaman bagi warga akan semakin parah, makin sulit mitigasinya, dan berpotensi mengakibatkan kerugian ekonomi yang besar. Wahyudi memberikan contoh kerugian ekonomi yang dialami Korea Selatan pada 2019 yang harus mengeluarkan anggaran US$ 650 juta untuk mengganti identitas 50 juta warganya yang menjadi korban data breach pada 2014.
Pembenahan Dimulai dari Audit Menyeluruh terhadap SPBE
Menurut Elsam, pembenahan dapat diawali dari audit menyeluruh terhadap seluruh instrumen tata kelola data pemerintah, terutama yang terkait dengan Sistem Pemerintahan Berbasis Elektronik (SPBE). Upaya tersebut, menurut Elsam, harus dibarengi dengan penguatan kapasitas sumber daya manusia pemerintah terkait dengan pelindungan data; dan upaya sistematik untuk memastikan kepatuhan institusi pemerintah terhadap seluruh standar pelindungan data.
Wahyudi menjelaskan, salah satu aspek krusial dari SPBE adalah mengharuskan Penyelenggara Sistem Elektronik (PSE) publik untuk memproses dan menyimpan datanya di wilayah Indonesia. Dalam Pasal 27 Peraturan Presiden Nomor 95 Tahun 2018 tentang SPBE disebutkan keharusan membangun PDN sebagai infrastruktur SPBE. Ini juga merupakan mandat dari Pasal 20 Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE).
Padahal, menurut Elsam, titik tekan untuk memastikan keamanan dalam pemrosesan data bukan terletak pada lokasi data disimpan, melainkan pada penerapan sistem keamanan yang kuat dan maksimal. Elsam menekankan kedaulatan data (data sovereignty) dimaknai sebagai hak untuk menentukan nasib sendiri (self determination) dari individu—warga negara, sehubungan dengan pemrosesan dan penggunaan data mereka, bukan pada aspek teritorial dari data.
Gagasan inilah yang mendorong lahirnya pendekatan human centric dalam pelindungan data, yang fokus pada aturan dalam pengumpulan, pemrosesan, penggunaan, berbagi penyimpanan, dan transfer data, untuk memastikan adanya kontrol dari subjek datanya. "Oleh karena itu, guna menjamin penerapan sistem keamanan yang kuat, khususnya terhadap data pribadi warga negara, dan terutama data sensitif, pemerintah perlu melakukan sinkronisasi berbagai kebijakan, untuk memastikan harmonisasi dengan Undang-Undang Perlindungan Data Pribadi," kata dia.
Selain itu, menurut Elsam, pemerintah perlu segera melakukan klasifikasi data berdasarkan data terbuka, terbatas, dan strategis. Klasifikasi ini menjadi dasar untuk menentukan pemrosesan, pengelolaan, hingga perlindungan data.
Untuk memastikan perlindungan data pribadi warga negara dan data strategis, perlu diberikan perlakuan khusus dan penyimpanannya disimpan di dalam negeri. Sedangkan data-data terbuka dengan risiko rendah dapat memanfaatkan data center yang dikelola swasta sehingga dapat mendorong pertumbuhan ekosistem industri cloud computing nasional.
Selain pembenahan, menurut Wahyudi, Elsam mendesak presiden segera mengambil tanggung jawab terkait dengan insiden keamanan siber pada PDN dan sejumlah dugaan data breach pada berbagai instutusi.
Tuntutan Menkominfo Budi Arie untuk Mundur Lewat Petisi
Selain Elsam, Southeast Asia Freedom of Expression Network (Safenet) bersikap dengan mengajak masyarakat beramai-ramai mengisi petisi yang meminta Menteri Komunikasi dan Informatika Budi Arie Setiadi segera mundur dari jabatannya. Menurut Direktur Safenet Nenden Sekar Arum, Budi Arie dianggap berkinerja buruk selama menjabat sebagai Menteri Kominfo.
Menurut Nenden, kinerja tersebut terlihat dari peretasan terhadap pusat data nasional (PDN) yang berdampak langsung merugikan masyarakat. "Petisi ini murni karena kinerjanya yang kurang baik dan berdampak langsung ke publik," kata dia, Sabtu (29/6/2024).
Ia menyebutkan pengisian petisi merupakan wujud simbolik masyarakat yang sedang menuntut tanggung jawab dari negara dan menuntut kesungguhan pemerintah dalam perlindungan data warga negara. Petisi ini ditempuh karena tak ada satu pun menteri atau perwakilan pemerintah yang meminta maaf kepada publik akibat kelalaian dalam menjaga data warga negara.
Petisi yang dimulai pada 26 Juni 2024 tersebut telah ditandatangani oleh nyaris 16 ribu masyarakat. Pada Minggu (30/6/2024), terkumpul 2.859 tanda tangan.
Menteri Kominfo Budi Arie menanggapi desakan mundur tersebut dengan santai. "Itu hak masyarakat untuk bersuara," kata dia. Saat rapat kerja dengan Komisi I DPR pada Kamis (27/6/2024), ia mengatakan tidak ada indikasi kebocoran data dari serangan terhadap PDN tersebut.
